Kelp漏洞事件始末及其对DeFi的影响，损失高达2.92亿美元

周末发生的一起价值约 2.92 亿美元的漏洞事件震动了加密货币行业，暴露了去中心化金融 (DeFi) 基础设施的漏洞，并引发了人们对借贷协议可能产生的连锁反应的担忧。

虽然调查仍在进行中，但初步分析表明，此次攻击的重点是 Kelp 的 rsETH 代币（以太坊 ( $ETH )的一种收益版本）以及用于在区块链之间转移资产的机制。

攻击者似乎操纵了该系统，创建了大量没有适当支持的代币，然后迅速将其用作抵押品，从借贷市场（主要是最大的去中心化加密货币借贷平台 Aave）借入和榨取真实资产。

此次事件是对 DeFi 的最新打击，距离基于 Solana 的协议 Drift 遭受 2.85 亿美元攻击仅几周时间，进一步削弱了投资者对近 900 亿美元加密货币行业的信心。

攻击是如何进行的

硬件钱包制造商 Ledger 的首席技术官 Charles Guillemet 在一份报告中告诉 CoinDesk，从宏观层面来看，此次攻击的目标是 LayerZero 桥接组件——一种使资产能够在不同区块链之间转移的基础设施。

桥接器的工作原理通常是将资产锁定在一条链上，并在另一条链上铸造等值的代币。这个过程依赖于一个可信实体（通常称为预言机或验证器）来确认存款。

在这种情况下，Kelp 实际上扮演了验证者的角色。据 Guillemet 称，该系统采用单签名机制，这意味着只需一个实体即可批准任何交易。

他说：“攻击者似乎能够签署一条消息……从而铸造大量的rsETH。”他还补充说，目前尚不清楚攻击者是如何获得这种访问权限的。

Curve Finance 的创始人 Michael Egorov 也指出了该系统配置中的同样缺陷。

“当你只信任一方时，无论那是谁，都可能发生不好的事情。”

这种设置使得攻击者能够有效地创建无担保代币，即使源链上没有锁定任何相应的资产。

代币铸造完成后，便迅速投入使用。Guillemet解释说，攻击者“立即将它们存入借贷协议（主要是Aave），以借入真正的ETH ”。

这一举措将问题从单一漏洞利用演变为更广泛的市场问题。DeFi借贷平台现在持有可能难以解除的抵押品，而有价值的流动性资产却已被耗尽。

Curve 的 Egorov 表示： “Aave 剩下的 rsETH 无法真正出售，也无法通过 maxborrowed 借贷$ETH，因此没有人可以提取$ETH。”

他警告说，因此，Aave 和其他贷款协议可能持有数亿美元的可疑抵押品和坏账，这引发了人们对潜在的“挤兑”的担忧，因为用户会争相提取资金。

事件发生后，用户纷纷撤回资产，导致Aave协议上的资产缩水约60亿美元。与该协议关联的代币在过去24小时内下跌了约15%。

我们仍然不知道的事情

关于验证器如何被攻破，仍存在一些关键问题。该系统依赖于 LayerZero 的官方节点，因此，该节点究竟是遭到黑客攻击、配置错误还是被误导，仍然存在诸多不确定性。

“是被黑客入侵了？还是被欺骗了？我们不知道，”叶戈罗夫说。

攻击者的身份仍然未知，但吉列梅特表示，此次攻击的规模表明攻击者手段老练。

“显然不是一些只会写脚本的小子，”他说。

对DeFi信任的重大打击

除了直接损失之外，此次事件也再次提醒我们，随着 DeFi 的互联性越来越强，一层中的故障可能会迅速波及整个系统。

埃戈罗夫认为，非孤立贷款模式（资产在资金池中分担风险）会放大此类事件的影响。

他还指出新资产接入借贷平台的方式存在缺陷，并表示像 Kelp 的 1 对 1 验证器设置这样的配置应该更早被标记出来。

然而，埃戈罗夫表示，事情也有好的一面。“加密货币环境非常恶劣，任何银行都无法在这种环境下生存——但我们正在努力适应，”他说。“我认为DeFi会从这次事件中吸取教训，变得比以前更加强大。”

不过，即便此类事件会导致协议升级和重新设计，它们也会削弱投资者对整个 DeFi 行业的信心。

“总而言之，这类事件会削弱人们对 DeFi 协议的信任，”Guillemet 说。

“2026年很可能再次成为黑客攻击最严重的一年，”他补充道。